Microsoft Entra ID で使用できる認証方法と検証方法
Microsoft では、非常に安全なサインイン エクスペリエンスを提供する Windows Hello、Passkeys (FIDO2)、Microsoft Authenticator アプリなどのパスワードレスの認証方法を推奨しています。 ユーザーはユーザー名やパスワードなど、他の一般的な方法を使用してサインインすることもできますが、パスワードはより安全な認証方法に置き換えるべきです。
Microsoft Entra 多要素認証 (MFA) を使用すると、ユーザーのサインイン時について、単にパスワードのみを使用する以上のセキュリティを付加できます。 ユーザーに対して、プッシュ通知に応答する、ソフトウェアまたはハードウェア トークンのコードを入力する、またはテキスト メッセージや電話に応答するなど、追加の形式での認証を要求することができます。
ユーザーのオンボード エクスペリエンスを単純化し、MFA とセルフサービス パスワード リセット (SSPR) の両方に登録するには、統合されたセキュリティ情報の登録を有効にすることをお勧めします。 回復性を確保するために、ユーザーに複数の認証方法の登録を求めることをお勧めします。 サインインや SSPR の間にユーザーがある方法を使用できない場合、そのユーザーは別の方法で認証することを選択できます。 詳細については、「Microsoft Entra ID で回復性があるアクセス制御管理戦略を作成する」を参照してください。
各認証方法のしくみ
認証方法の中には、FIDO2 セキュリティ キーやパスワードの利用といった、アプリケーションやデバイスにサインインする際にプライマリ要素として利用できるものがあります。 Microsoft Entra 多要素認証または SSPR を使用する場合、他の認証方法はセカンダリ要素としてのみ使用できます。
次の表は、サインイン イベント時に各認証方法がどのタイミングで使用できるかの概要を示しています。
Method | プライマリ認証 | セカンダリ認証 |
---|---|---|
Windows Hello for Business | はい | MFA* |
Microsoft Authenticator プッシュ | いいえ | MFA と SSPR |
Microsoft Authenticator パスワードレス | はい | いいえ* |
Microsoft Authenticator パスキー (プレビュー) | はい | MFA |
Authenticator Lite | いいえ | MFA |
Passkey (FIDO2) | はい | MFA |
証明書ベースの認証 | はい | MFA |
OATH ハードウェア トークン (プレビュー) | いいえ | MFA と SSPR |
OATH ソフトウェア トークン | いいえ | MFA と SSPR |
外部認証方法 (プレビュー) | いいえ | MFA |
一時アクセス パス (TAP) | はい | MFA |
SMS | はい | MFA と SSPR |
音声通話 | いいえ | MFA と SSPR |
Password | はい | いいえ |
* Windows Hello for Business 自体は、ステップアップ MFA 資格情報として機能しません。 たとえば、サインインの頻度からの MFA チャレンジや、forceAuthn=true を含む SAML 要求などです。 Windows Hello for Business は、FIDO2 認証で使用することで、ステップアップ MFA 資格情報として機能できます。 これには、FIDO2 認証が正常に動作するようにユーザーを登録する必要があります。
* プライマリ認証に証明書ベースの認証 (CBA) が使われている場合にのみ、パスワードレス サインインをセカンダリ認証に使用できます。 詳細については、「Microsoft Entra の証明書ベースの認証に関する技術的な詳細情報」を参照してください。
これらの認証方法は、すべて Microsoft Entra 管理センターで構成できます。また、Microsoft Graph REST API を使用して構成することが増えています。
各認証方法のしくみの詳細については、次の概念に関する個別の記事を参照してください。
- Windows Hello for Business
- Microsoft Authenticator アプリ
- Authenticator Lite
- Passkey (FIDO2)
- 証明書ベースの認証
- OATH ハードウェア トークン (プレビュー)
- OATH ソフトウェア トークン
- 外部認証方法 (プレビュー)
- 一時アクセス パス (TAP)
- SMS サインインおよび検証
- 音声通話の確認
- Password
Note
パスワードは、Microsoft Entra ID で多くの場合にプライマリとして使用される認証方法の 1 つです。 パスワード認証方法を無効にすることはできません。 パスワードをプライマリ認証要素として使用する場合は、Microsoft Entra 多要素認証でサインイン イベントのセキュリティを強化してください。
特定のシナリオでは、次の追加認証方法を使用できます。
- アプリ パスワード - 最新式の認証に対応していない旧型アプリケーションで使用されます。ユーザーごとの Microsoft Entra 多要素認証向けに構成可能です。
- セキュリティの質問 - SSPR でのみ使用されます
- メールアドレス - SSPR にのみ使用されます
使用可能な方法と使用できない方法
管理者は、Microsoft Entra 管理センターでユーザー認証方法を表示できます。 使用可能な方法が最初に一覧表示され、その後に使用できない方法が表示されます。
各認証方法は、さまざまな理由で使用できなくなる可能性があります。 たとえば、一時アクセス パスの有効期限が切れる場合や、FIDO2 セキュリティ キーが構成証明に失敗する場合があります。 ポータルが更新され、メソッドが使用できない理由が示されます。
[多要素認証の再登録が必要] によって使用できなくなった認証方法もここに表示されます。
次のステップ
最初に、セルフサービス パスワード リセット (SSPR) のチュートリアルと Microsoft Entra 多要素認証に関するページを参照してください。
SSPR に関する概念の詳細については、Microsoft Entra のセルフサービス パスワード リセットのしくみに関するページを参照してください。
MFA の概念の詳細については、Microsoft Entra の多要素認証のしくみに関するページを参照してください。
Microsoft Graph REST API を使用した認証方法の構成の詳細を確認してください。
使用されている認証方法を確認するには、Microsoft Entra 多要素認証の認証方法を PowerShell を使用して分析する方法についての記事を参照してください。